Blog

29 Δεκέμβριος 2016

PHP Mailer Liberaries Kills ιστοσελίδα κάθε λεπτό δεν διαβάζετε αυτό το άρθρο

Μια απίστευτη απομάκρυνση κώδικα από απομακρυσμένο κώδικα έγινε PHPMailer, ένα standout μεταξύ του mossycup βελανιδιάς ευρέως χρησιμοποιούμε PHP αποστολή βιβλιοθηκών ηλεκτρονικού ταχυδρομείου, μπορεί να θέσει εκατομμύρια ιστοσελίδες σε κίνδυνο από την διεκδίκηση hacking.

Η ατέλεια θα μπορούσε να βρεθεί Προς έναν ειδικό ασφαλείας με το όνομα Dawid Golunski Πιθανότατα μια αρχική επιδιόρθωση θα μπορούσε να έχει ενσωματωθεί στο PHPMailer 5. 2. 18, το οποίο ενδέχεται να έχει εκφορτωθεί το Σάββατο. Ωστόσο, αποδεικνύεται ότι το patavium μπορεί να ήταν ανεπαρκές. Επιπλέον, μπορεί να παρακαμφθεί.

Η βιβλιοθήκη του PHPMailer μπορεί να χρησιμοποιηθεί συγκεκριμένα εναλλάξ με έμφαση. Τελικά, ο Tom διασκεδάζει με ένα σημαντικό αριθμό περιεχομένων που εποπτεύει πλαίσια οικονομίας (CMS), όπως το WordPress, το Joomla Also Drupal. Ο τόπος που μπορεί να μην περιλαμβάνεται η βιβλιοθήκη Προηγουμένως, ο κεντρικός τους κώδικας θα είναι προσπελάσιμος με προσανατολισμό Σχετικά με την απεικόνιση Μια ξεχωριστή λειτουργική μονάδα εναλλακτικά θα μπορούσε να συσκευάζεται με πρόσθετα τρίτων.

Λόγω αυτού, οι κάμπιες καρφίδων αυτών των ελαττωμάτων διαφέρουν ξεκινώντας από την ιστοσελίδα με την ιστοσελίδα. Για παράδειγμα, αυτή η συνεργασία ασφαλείας Joomla υπαγόρευσε ότι η τάξη Joomla JMail, η οποία εξαρτάται από την PHPMailer, χρειάζονται επιπλέον επικυρώσεις που δημιουργούν την εξουδετέρωση της ανυπακοής.

Η ατέλεια θα ξεκινήσει προς την ανεπαρκή αποδοχή των πληροφοριών διεύθυνσης ηλεκτρονικού ταχυδρομείου του αποστολέα Επίσης θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να εισάγει εντολές κελύφους που θα μπορούσαν να εκτελεστούν στον εξυπηρετητή ιστού στη ρύθμιση του έργου sendmail.

Ωστόσο, η μεγάλη κατάχρηση επιβάλλει την εγγύτητα μιας διαδικτυακής εκδήλωσης στον ιστότοπο, σύμφωνα με την οποία οι εταιρείες PHPMailer θα στέλνουν μηνύματα. Επιτρέπει επίσης την εισαγωγή μιας προσαρμοσμένης τοποθεσίας ηλεκτρονικού ταχυδρομείου αποστολέα - της τοποθεσίας που φαίνεται στην κεφαλίδα του μηνύματος ηλεκτρονικού ταχυδρομείου. Δεν είναι λογικό το πόσο τακτικές είναι αυτές οι διαμορφώσεις, σε γενικές εκδηλώσεις ιστού φέρνουν το email του αποστολέα προκαθορισμένο. Επίσης, οι καλύτεροι πελάτες πρέπει να ενημερώσουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους, όπως και ο δικαιούχος.

"Όλες οι θέσεις στο κεντρικό Joomla API που στέλνουν αλληλογραφία χρησιμοποιούν τη διεύθυνση αποστολέα που έχει οριστεί στην παγκόσμια εγκατάσταση. Επιπλέον, δεν θεωρεί ότι οι πληροφορίες των πελατών θα πρέπει να έχουν την ευκαιρία να βρίσκονται αλλού", ανέφερε η Joomla Security for a report. "Ωστόσο, οι επεκτάσεις που συσκευάζουν μια διαφοροποιημένη προσαρμογή του PHPMailer εναλλάξ δεν χρησιμοποιούν το Joomla API με το email αποστολής ίσως μια πιθανότητα να είναι ανυπεράσπιστο σε αυτό το ζήτημα. ".
Οι προγραμματιστές του WordPress έφτασαν σε ένα συγκριτικό συμπέρασμα, σημειώνοντας στον δικό τους ιχνηλάτη σφαλμάτων ότι η εσωτερική εργασία wp_mail () που χρησιμοποιείται προς τον κεντρικό κώδικα του WordPress μπορεί να μην επηρεάζεται σε αυτό δεν χρησιμοποιεί το αδύναμο χαρακτηριστικό PHPMailer. Οι προσθήκες τρίτου μέρους που χρησιμοποιούν το wp_mail () δεν θα έπρεπε να επηρεάζονται ούτε υποθετικά, αλλά και η παρακολούθηση συγκεκριμένων προσθηκών μπορεί να εξεταστεί αυτή τη στιγμή.

"Η πλησιέστερη 4. 7. Η άφιξη του 1 θα έχει πολλές ανακούφιση για αυτά τα ζητήματα », δήλωσε ο σχεδιαστής του WordPress Dion Hulse. "Έχουμε υποβληθεί μόνο με αποστολές ασφαλών βιβλιοθηκών για WordPress - σε κάθε περίπτωση αν χρησιμοποιούμε το χαρακτηριστικό ή όχι. ".
Η ομάδα ασφαλείας του Drupal έθεσε επίσης μια αναφορά ασφάλειας για αυτό το θέμα. Τι περισσότερο το έλεγξε κρίσιμο, παρά το γεγονός ότι ο κώδικας του Drupal δεν θα επηρεαστεί. Τελικά ο Tom διαμαρτύρεται για αυτές τις ατέλειες.

"Δεδομένης της εκπληκτικής κρισιμότητας για αυτό το ζήτημα και του χρονοδιαγράμματος για την απαλλαγή του, εκδίδουμε μια γενική δημοσίευση διοίκησης πληθυσμού με προσοχή που ενδεχομένως επηρέασε τους διαχειριστές τοποθεσιών του Drupal", ανέφερε η εν λόγω συνεργασία.

Στον εισαγωγικό οικισμό, το camwood μπορεί να παρακαμφθεί και ο κώδικας κατάχρησης του γενικού πληθυσμού μπορεί να είναι διαθέσιμος, η ανυπαρξία απαιτεί μηδενική κατάσταση - θα αναφέρεται δημοσίως και θα είναι αδιάθετη. Επιπλέον, ένα άμεσο αποτέλεσμα αυτών των αποτελεσμάτων ποικίλλει από τον ιστότοπο στον ιστότοπο, βασιζόμενοι στον τρόπο με τον οποίο μπορεί να χρησιμοποιηθεί το PHPMailer, δεν υπάρχει απλή προσέγγιση για τους υπεύθυνους webmasters που θα απαλλάξουν το θέμα χωρίς προσεκτική αξιολόγηση.

Υποθέτοντας ότι χρησιμοποιούν PHPMailer απλά Προηγουμένως, τον κώδικα του ιστοτόπου τους, θα έπρεπε να αναθεωρήσουν τη βιβλιοθήκη του πιο πρόσφατου patchcord versify όσο πιο γρήγορα Παρόμοια με την εκφόρτισή του. Επιπλέον, διαφορετικοί τύποι μεταφέρουν μηνύματα για τη βοήθεια μιας ανυπεράσπιστης παράδοσης του PHPMailer. Αυτό που υποθέτει περισσότερο ότι ένας επιτιθέμενος δυνατοτήτων θα μπορούσε να ενημερώσει τη θέση του ηλεκτρονικού ταχυδρομείου του αποστολέα.

Σχετικά με τη χρήση ενός πλαισίου διαχείρισης ουσιών που θα έπρεπε να ενισχύσουν περαιτέρω, ζυγίζουν τον ιστοχώρο βοήθειας, για να διαπιστώσουν εάν οι επηρεασμένοι αυτοί συμπιέζονται παράλληλα με την προεπιλεγμένη ρύθμιση. Μετά από αυτό θα έπρεπε να εκτιμήσουν αυτά τα κυριαρχεί για οποιαδήποτε Σε οποιεσδήποτε τρίτους plug-ins εναλλάξ ενότητες που πρέπει να εισαχθούν Επίσης, τα οποία θα μπορούσαν να χρησιμοποιούν PHPMailer από μόνοι τους.

GTranslate Your license is inactive or expired, please subscribe again!